ГОСТ Р ИСО 27799-2015; Страница 22

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 26624-2016 2-этилгексанол технический. Технические условия Technical 2-ethylhexanol. Specifications (Настоящий стандарт распространяется на технический 2-этилгексанол . (2-этилгексанол-1, изооктиловый спирт), получаемый из н-масляного альдегида, . н-бутилового спирта, уксусного альдегида и предназначенный для синтеза пластификаторов, стабилизаторов, присадок к смазочным маслам, для использования в качестве растворителя) ГОСТ 12.2.026.0-2015 Оборудование деревообрабатывающее. Требования безопасности к конструкции Woodworking equipment. Safety requirements for construction (Настоящий стандарт распространяется на деревообрабатывающее оборудование производственного назначения, предназначенного для использования в климатических условиях УХЛ 1-УХЛ 4 по ГОСТ 15150 и устанавливает общие и специальные требования безопасности к конструкции станков всех типов и конкретных групп, а также на применяемые совместно с ними устройства, рассчитанные на подключение к питающей сети переменного тока напряжением до 660 В и частотой до 200 Гц) ГОСТ Р 56842-2015 Информатизация здоровья. Информационное взаимодействие с персональными медицинскими приборами. Часть 10101. Номенклатура Health informatics. Point-of-care medical device communication. Part 10101. Nomenclature (Область применения данного стандарта это архитектура номенклатуры для информационного взаимодействия с персональными медицинскими приборами. Стандарт состоит из трех частей: основной текст стандарта, определяющий общую архитектуру организации и отношения между компонентами номенклатуры; нормативные приложение A и B, содержащие спецификации семантики и синтаксиса, соответственно; информационное приложение C и библиография)

Страница 22

Страница 1

Untitled document

ГОСТРИСО 27799—2015

6.5 Действие. Внедрение и эксплуатация СМИБ

Внедрение СМИБ включает в себя несколько этапов.

a) Создание плана обработки рисков: после выявления рисков в ходе анализа, они должны

быть рассмотрены и либо приняты высшим руководством, либо минимизированы, если риск счита

ется неприемлемым. План обработки рисков разъясняет мероприятия, которые необходимо провести

для снижения неприемлемых рисков. Он включает в себя план внедрения средств контроля

защиты, выбранный (на основе результатов оценки рисков) для снижения или смягчения этих

недопустимых рисков. ISMF несет ответственность за осуществления этого плана. Теоретически,

план обработки рисков будет включать в себя расписания, приоритеты и подробные планы работы, а

также будет рас пределять обязанности по внедрению средств контроля защиты. В сфере

здравоохранения утвержде ние таких планов может задействовать как службы управление

информацией, так и службы управления клинической практики.

) Распределение ресурсов: важная роль управления заключается в обеспечении необходимы

ми ресурсами (людьми, системами и финансированием) для защиты активов медицинской информа

ции.

c) Выбор и внедрение средств контроля защиты: раздел 7 рассматривает каждый из одиннад

цати пунктов о защите ИСО/МЭК 27002 и дает советы и рекомендации по правильному выбору средств

контроля защиты в среде здравоохранения.

d) Подготовка и обучение: в 7.5.2.2 обсуждаются требования по подготовке и обучению всех

сотрудников, подрядчиков, специалистов здравоохранения и других лиц. имеющих доступ к информа

ционным системам здравоохранения и персональной медицинской информации.

e) Управление работой: надлежащая непрерывная работа СМИБ является существенным фак

тором. если необходимо поддерживать конфиденциальность, целостность и доступность медицинской

информации и информационных систем. В 7.7 говорится об аспектах управления работой, связанных со

здоровьем.

0 Управление ресурсами: эффективное обеспечение защиты информации может быть дорогим

и может быть недостаточно компетентных человеческих ресурсов. Действенное определение приори

тетов посредством ISMF и тщательное управление людьми и ресурсами необходимы для обеспечения

эффективной непрерывной работы.

д)Управление инцидентами в системе безопасности: для минимизации последствий инциден

тов в системе безопасности, важно, чтобы инцидент был надлежащим образом обнаружен, а коррек

тирующие действия предприняты. Методическое руководство по инцидентам в системе безопасности

должно быть подготовлено и подлежит регулярной проверке. Это особенно важно для определения

обязанностей и шагов действия на начальном этапе реагирования, так как события могут разворачи

ваться быстро, а критический характер информационных систем здравоохранения дает мало времени

на размышления в то время, когда в системе безопасности возникает инцидент. Четкие процедуры

отчетности для инцидентов в системе безопасности также имеют важное значение для того, чтобы со

хранялось доверие заинтересованных сторон системы здравоохранения и чтобы лица, ответственные

за управление клинической практикой и компанией, были в курсе важных событий и их последствий.

В 7.10 содержится подробное обсуждение управления инцидентами в системе безопасности.

6.6 Проверка. Мониторинг и проверка СМИБ

6.6.1 Необходимость в постоянной гарантии

Организации. СМИБ и ISMF в рамках СМИБ требуют гарантии его эффективности при поддержа

нии нынешнего уровня защиты и при ее постоянном улучшении в соответствии со стратегией обеспече

ния защиты информации в соответствии с целями организации.

Для обеспечения данной гарантии доступен ряд вариантов. Эти варианты могут быть использо

ваны в комбинации друг с другом. Менее дорогие возможности предоставляют соразмерно меньшую

гарантию, отражающую предлагаемые ими ограниченную строгость и независимость. Медицинские ор

ганизации должны создавать программы для проверки соответствия, которые используют комбинацию

технологии и подходы.

6.6.2 Оцонка соответствия

6.6.2.1 Самостоятельная оценка

На базовом уровне, особенно там. где внедрение ИСО/МЭК 27001 проводится исключительно для

внутренних целей, оценка, выполненная небольшой группой из других подразделений организации,